| |
| |||||||
Log-Analyse und Auswertung: Firefox-Symbol wird zur Lupe, Aufforderung zu Mediaplayer-Installationen, ungewünschte Search EnginesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.04.2014, 23:40
| #1 |
 |  Firefox-Symbol wird zur Lupe, Aufforderung zu Mediaplayer-Installationen, ungewünschte Search Engines Hallo, ich bin auf dieses Forum gestoßen auf der Suche nach einer Erklärung für die plötzliche Umwandlung des Firefox-Logos (nur nach Anklicken) in eine Lupe und auf dieses Thema gestoßen: http://www.trojaner-board.de/150386-...ownloader.html Mein Problem ist wohl ähnlich - nein, ich habe (außer die ganzen genannten Tools runterzuladen) noch nichts gemacht, weil ich dann auf das Thema mit dem "Eigenes Thema erstellen" und "nichts machen ohne Anweisung" gekommen bin. Neben der Icon-Problematik sind folgende Sachen aufgefallen: häufiger ungefragte Icons auf dem Desktop (Programme habe ich dann wieder deinstalliert), hauptsächlich was mit PC Backup etc, dann nicht entfernbare Suchergebnisse (das ist dieses Pirrit Suggestor im ersten Log) als "weitere Angebote" z.B. auf eBay - so eine zusätzliche kleine Leiste am unteren Bildschirmrand, die man zwar schließen kann, die aber bei jeder neuen Seite wiederkommt), Search Engines werden zugefügt ohne das ich das selber gemacht habe, Startseite ändert sich (zu Yahoo - habe sonst Google), Seiten öffnen sich ungefragt (als würde der Popup-Blocker nicht mehr funktionieren), vor allem ständige Aufforderungen irgendwelche Mediaplayer zu installieren bzw. vielmehr upzudaten, weil sonst irgendwelche Inhalte (u.a. heute aufgefallen Java-Update) nicht gezeigt werden könnten, Virensoftware (ESET Smart Security 4) meldete in letzter Zeit einige Funde (in Quarantäne automatisch verschoben). Soviel zur Vorgeschichte. Habe jetzt wie gesagt die im obigen Thema genannten Programme geladen, aber noch nichts laufen lassen. Hier die Logs der unter "Erste Schritte" geforderten Programme - zwei Anmerkungen noch dazu: 1. ich habe blöderweise das Log von dem defogger zuerst überspeichert mit dem von GMER, weil ich durcheinander gekommen bin (defogger hatte ich aber zuerst laufen lassen, da hatte ich auch keine Fehlermeldung vom PC). 2. Ich kann das FRST nicht starten (64bit System), der PC sagt mir das sei keine gültige Win32-Anwendung...? Die anderen inkl. der Virensoftware hier: ESET Smart Security 4 Code:
ATTFilter 28.04.2014 22:40:12 HTTP-Prüfung Datei hxxp://yourinstaller.com/o/FlashPlayerPro/Player-Firefox.exe?filedescription=FlashPlayerPro&subid=propeller_lightspark-display-de&user_id=041e4456-232c-4c17-b768-b181af01ebe8&thankYouUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider=propellerads&reason=complete&cancelUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider Variante von Win32/AdWare.iBryte.Z Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe.
24.04.2014 22:16:34 HTTP-Prüfung Datei hxxp://yourinstaller.com/o/FlashPlayerPro/Player-Firefox.exe?filedescription=FlashPlayerPro&subid=propeller_lightspark-display-de&user_id=041e4456-232c-4c17-b768-b181af01ebe8&thankYouUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider=propellerads&reason=complete&cancelUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider Variante von Win32/AdWare.iBryte.Y Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe.
24.04.2014 22:10:15 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\F3rMmR4k.exe.part Variante von Win32/AdWare.iBryte.Y Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
24.04.2014 22:09:55 HTTP-Prüfung Datei hxxp://yourinstaller.com/o/FlashPlayerPro/Player-Firefox.exe?filedescription=FlashPlayerPro&subid=propeller_lightspark-display-de&user_id=041e4456-232c-4c17-b768-b181af01ebe8&thankYouUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider=propellerads&reason=complete&cancelUrl=hxxp://downloadactivation.com/thanks?source=propeller_lightspark-display-de&subid1=5677&userid=041e4456-232c-4c17-b768-b181af01ebe8&adprovider Variante von Win32/AdWare.iBryte.Y Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe.
19.04.2014 00:31:10 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\nshC8A0.tmp Variante von Win64/Adware.Adpeak.C Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\Users\Claudia\AppData\Local\Temp\dlm390C.tmp\032939rr.exe.
19.04.2014 00:29:34 HTTP-Prüfung Datei hxxp://software-files-a.cnet.com/u/moff/passshow/FF_IE_PassShow_1030-4001.exe Variante von Win32/AdWare.AddLyrics.AH Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\Downloads\WMV_to_MP4_Converter-ORG-75903117.exe.
18.04.2014 22:56:48 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\nss5518.tmp.exe möglicherweise Variante von Win32/AdWare.AddLyrics.AJ Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Users\Claudia\AppData\Local\Temp\nsrE0D1.tmp.exe.
18.04.2014 22:56:26 HTTP-Prüfung Datei hxxp://app.dcexpath.org/apps/dist/BlockAndSurf_2222-5510.exe möglicherweise Variante von Win32/AdWare.AddLyrics.AJ Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe.
30.03.2014 22:43:08 HTTP-Prüfung Datei hxxp://app.dcexpath.org/apps/dist/BlockAndSurf_2222-5510.exe Variante von Win32/AdWare.AddLyrics.AH Anwendung Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Users\Claudia\AppData\Local\Temp\nsb2D91.tmp.exe.
30.03.2014 22:29:48 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-7u51-windows-i586-iftw.exe_635318153874190000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:47 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-7u45-windows-i586-iftw.exe_635318153864620000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:46 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-7u25-windows-i586-iftw.exe_635318153855530000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:45 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-7u21-windows-i586-iftw.exe_635318153845670000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:44 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-6u37-windows-i586-iftw.exe_635318153836510000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:43 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-6u35-windows-i586-iftw.exe_635318153826620000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:42 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-6u29-windows-i586-iftw-rv.exe_635318153816540000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:41 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-6u26-windows-i586-iftw-rv.exe_635318153807200000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:40 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\jre-6u24-windows-i586-iftw-rv.exe_635318153793170000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:19 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\toolkitpro1331vc90u.dll_635318153582190000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:17 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\kiespdlr.exe_635318153570010000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:16 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\globalutil.dll_635318153561980000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:15 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\agentdialogs.dll_635318153551190000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:15 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\agent.dll_635318153542880000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:29:14 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\admindelegator.exe_635318153534410000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:28:10 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\toolkitpro1331vc90u.dll_635318152895700000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:28:08 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\globalutil.dll_635318152878290000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:28:07 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\agentdialogs.dll_635318152868140000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
30.03.2014 22:28:06 Echtzeit-Dateischutz Datei C:\Users\Claudia\AppData\Local\Temp\sptemp\kiespdlr.exe_635318152852450000 Win32/RiskWare.PEMalform.E Anwendung Gesäubert durch Löschen - in Quarantäne kopiert LITTLESHEEP\Claudia Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe.
23.02.2014 01:16:20 HTTP-Prüfung Datei hxxp://www.freecardsmaker.com/default/ga/sa/?dl=1&ts=1&tschnl=FL_4&adnm=32468201486&i=s&grid=&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_627412451&kw=zip&mt=&mn=napster-rienf-repair.updatestar.com&ct=&nt=D&expr=&ap=none&dv=c&color=green&agid=_6063576989 Variante von Win32/TrojanDownloader.FakeNSIS.A Trojaner Verbindung getrennt - in Quarantäne kopiert LITTLESHEEP\Claudia Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
Defogger (wie gesagt, zweiter Lauf da zuerst überspeichert  )Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 00:16 on 29/04/2014 (Claudia)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
SPTD -> Already disabled
-=E.O.F=-
GMER Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-04-29 00:14:18
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000062 WDC_WD15 rev.01.0 1397,27GB
Running: Gmer-19357.exe; Driver: C:\Users\Claudia\AppData\Local\Temp\pxlcqaow.sys
---- User code sections - GMER 2.1 ----
.text C:\ProgramData\IePluginService\PluginService.exe[1652] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\ProgramData\IePluginService\PluginService.exe[1652] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Windows\SysWOW64\rundll32.exe[2732] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Windows\SysWOW64\rundll32.exe[2732] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files\Creative\ZEN Media Explorer\CTCheck.exe[2572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files\Creative\ZEN Media Explorer\CTCheck.exe[2572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe[2640] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe[2640] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files\V-bates\notifier.exe[3056] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files\V-bates\notifier.exe[3056] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Vtune\TBPANEL.exe[3060] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Vtune\TBPANEL.exe[3060] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\GMX\GMX SMS-Manager\SMSMngr.exe[2740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\GMX\GMX SMS-Manager\SMSMngr.exe[2740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Creative\Sync Manager Unicode\CTSyncU.exe[2748] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Creative\Sync Manager Unicode\CTSyncU.exe[2748] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[2752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[2752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[2372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[2372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe[1796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe[1796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Samsung\Kies\Kies.exe[2104] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Samsung\Kies\Kies.exe[2104] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3064] C:\Windows\SysWOW64\ntdll.dll!DbgBreakPoint 0000000077a9000c 1 byte [C3]
.text C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3064] C:\Windows\SysWOW64\ntdll.dll!DbgUiRemoteBreakin 0000000077b1f8ea 5 bytes JMP 0000000177acd5c1
.text C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3064] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3064] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Users\Claudia\AppData\Local\Smartbar\Application\Smartbar.exe[3012] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Users\Claudia\AppData\Local\Smartbar\Application\Smartbar.exe[3012] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Users\Claudia\AppData\Local\Genesis\Genesis.exe[2872] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Users\Claudia\AppData\Local\Genesis\Genesis.exe[2872] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Microsoft\BingDesktop\BingDesktopUpdater.exe[3180] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Microsoft\BingDesktop\BingDesktopUpdater.exe[3180] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe[3244] C:\Windows\syswow64\kernel32.dll!SetUnhandledExceptionFilter 0000000077078791 4 bytes [C2, 04, 00, 00]
.text C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe[3244] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe[3244] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe[2852] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe[2852] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe[5020] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe[5020] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe[4372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe[4372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[1848] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075a81465 2 bytes [A8, 75]
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[1848] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075a814bb 2 bytes [A8, 75]
.text ... * 2
---- Threads - GMER 2.1 ----
Thread System [4:1100] fffffa8009adca40
---- Processes - GMER 2.1 ----
Process C:\Users\Claudia\AppData\Local\Genesis\Genesis.exe (*** suspicious ***) @ C:\Users\Claudia\AppData\Local\Genesis\Genesis.exe [2872](2014-04-28 20:49:14) 0000000000400000
Library C:\Users\Claudia\AppData\Local\PirritSuggestor\QtCore4.dll (*** suspicious ***) @ C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritService.exe [3416] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-04-18 20:55:13) 000000006a040000
Library C:\Users\Claudia\AppData\Local\PirritSuggestor\QtNetwork4.dll (*** suspicious ***) @ C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe [4372] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-04-18 20:55:13) 000000005e010000
Library C:\Users\Claudia\AppData\Local\PirritSuggestor\QtCore4.dll (*** suspicious ***) @ C:\Users\Claudia\AppData\Local\PirritSuggestor\PirritDesktop.exe [4372] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-04-18 20:55:13) 000000006a040000
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0xCC 0x94 0x5D ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5B 0x63 0xE0 0x7E ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x44 0x36 0x9E 0xD2 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x27 0x28 0x48 0x34 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x49 0x8B 0xAC 0xFB ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0xCC 0x94 0x5D ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5B 0x63 0xE0 0x7E ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x44 0x36 0x9E 0xD2 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x27 0x28 0x48 0x34 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x49 0x8B 0xAC 0xFB ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A7683762-250E-1153-8024-4B2E4BD01261}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A7683762-250E-1153-8024-4B2E4BD01261}@oadgidkllokdlihcbncfkifajgffgm 0x69 0x61 0x62 0x61 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A7683762-250E-1153-8024-4B2E4BD01261}@nafggahdoojdcjickaifmfoaianf 0x6A 0x61 0x70 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A7683762-250E-1153-8024-4B2E4BD01261}@oapiaamakhgeobpljakhoedhflkggc 0x64 0x61 0x69 0x70 ...
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.1 ----
Ich hoffe, bis auf das FRST ist das soweit okay wie ich es gepostet habe - bin dann spätestens morgen Abend wieder online zur weiteren Bearbeitung (falls sich also vorher ein freundlicher Helfer findet, keine Hektik und schon mal Danke!). Sollte was fehlen oder sich was Verbotenes finden (nicht bewußt), bitte kurzen Hinweis - dann werde ich das soweit ich kann nachreichen/ergänzen bzw. entfernen. Danke! |
| Themen zu Firefox-Symbol wird zur Lupe, Aufforderung zu Mediaplayer-Installationen, ungewünschte Search Engines |
| fehlermeldung, genesis, mobogenie, mobogenie entfernen, programme, registry, schließen, security, software, starten, sweet-page, sweet-page entfernen, win32/adware.addlyrics.ah, win32/adware.addlyrics.aj, win32/adware.ibryte.y, win32/adware.ibryte.z, win32/riskware.pemalform.e, win32/trojandownloader.fakensis.a, win64/adware.adpeak.c |
Baum-Darstellung